近日，上海市網信辦接到線索，反映屬地某醫療科技公司所屬系統存在網絡安全漏洞，致使系統大量個人信息數據發生泄漏被境外IP訪問竊取。經過調查核實，上海市網信辦依據《數據安全法》第四十五條規定對該醫療科技公司給予警告，并處以罰款的行政處罰。

通過調查核實，涉事醫療科技公司為民營醫療機構，主要從事醫療領域教育培訓的技術開發服務，涉事系統為該企業內部生產測試系統，部署于云服務平臺，系統數據庫內存儲大量個人信息數據，包含姓名、單位名稱、所屬省市、所在鄉鎮/街道、手機號等。該系統未采取有效網絡安全防護措施，存在未授權訪問漏洞，網絡和數據安全管理制度不完善，網絡日志留存不足6個月，造成數據泄漏被竊取，違反了《數據安全法》第二十七條規定。針對以上違法情況，上海市網信辦依據《數據安全法》第四十五條規定對該醫療科技公司給予警告，并處以罰款的行政處罰。

消息來源：網信上海

數據安全關乎人民群眾切身利益，企業在開展數據處理活動中應當采取必要的保護措施，保障數據安全。醫療行業機構及相關企業因業務需求，需要收集存儲大量醫療人員及患者相關個人信息等敏感數據，一旦泄露或被非法利用，容易導致人員的人格尊嚴受到侵害甚至會危害到人身、財產安全，因此，醫療行業企業更應該通過專業有效的技術手段比如SSL證書，制度合法合規的管理制度，切實履行好數據安全保護義務。

01

數據安全的重要性與醫療行業的特點

醫療行業因其特殊性，需要收集和處理大量的敏感數據，包括但不限于患者的個人信息、醫療記錄、診斷結果等。這些數據一旦泄露或被非法利用，將對個人隱私、人格尊嚴乃至人身、財產安全構成嚴重威脅。因此，醫療行業企業在數據處理活動中必須采取更為嚴格和專業的保護措施。

02

SSL證書在數據安全中的應用

SSL證書（安全套接層證書）在數據安全中扮演著重要角色。它通過建立加密的通信通道，確保數據在傳輸過程中的安全性和完整性。對于醫療行業企業來說，使用SSL證書可以：

加密傳輸：

確保患者和醫療人員的數據在傳輸過程中不被竊取或篡改。

身份驗證：

防止假冒網站或服務器，確保用戶與正確的服務器進行通信。

提升信任度：

增加用戶對網站的信任感，提高患者滿意度和忠誠度。

03

合法合規的管理制度

除了技術手段外，醫療行業企業還需要建立合法合規的管理制度來保障數據安全。這包括但不限于：

01

數據分類與保護：

根據數據的敏感程度進行分類，并采取相應的保護措施。

02

訪問控制：

對數據的訪問進行嚴格的權限管理，確保只有授權人員能夠訪問敏感數據。

03

安全審計：

定期對數據處理活動進行審計，確保合規性和及時發現潛在的安全風險。

04

應急響應：

建立應急響應機制，一旦發生數據泄露或安全事件，能夠迅速響應并采取措施。

04

總結與建議

醫療行業企業在數據處理活動中必須高度重視數據安全，采取必要的保護措施來保障患者和醫療人員的隱私和權益。這包括使用SSL證書等專業技術手段來加密數據傳輸，以及建立合法合規的管理制度來加強內部管理和控制。同時，企業還需要定期接受安全評估和審計，以確保其數據處理活動的合規性和安全性。

對于監管機構來說，也需要繼續加強執法力度，對違反數據安全法律法規的企業進行嚴厲處罰，以儆效尤。同時，還需要加強對企業的指導和培訓，幫助企業提高數據安全意識和能力。